В 1й части мы будем устанавливать модуль Apache mod-evasive на Debian сервер. Этот модуль отслеживает количество подключений с определенного клиента и блокирует IP адрес на определенное время при превышении лимита.

sudo apt-get install libapache2-mod-evasive

Или берем отсюда:

http://packages.debian.org/lenny/libapache2-mod-evasive

И устанавливаем так:

dpkg -i libapache2-mod-evasive_x.x.x.deb

Документация на английском языке:

http://www.helicontech.com/ape/doc/mod_evasive.htm

Создаем файл /etc/apache2/mods-available/mod-evasive.conf с вот такими настройками:

( Читать дальше )

Иногда требуется удалить файлы так, чтобы полное восстановление их было невозможно (ну или, по крайней мере, максимально затруднено). Вот пара утилит:

( Читать дальше )

Заметил, что встроенную капчу LiveStreet начали обходить боты, создающие учетки только для размещения рекламных ссылок.

Поменял CAPTCHA на более сложную, отличное описание здесь:
http://livestreet.ru/blog/tips_and_tricks/2414.html

Капча выглядит так:

ModSecurity – модуль Apache, добавляющий возможности обнаружения и предотвращения вторжения на Web сервер. Модуль подобен IDS системе, которую вы бы использовали для анализа сетевого трафика, за исключением того, что mod_security работает только на HTTP уровне. Модуль позволяет вам анализировать действия, обычные с точки зрения HTTP протокола, но трудные для анализа классическими IDS системами.

Модуль имеет довольно-таки суровые правила и зачастую вполне безобидные скрипты после включения этого модуля перестают работать.

Так произошло, например, с движком LiveStreet. Перестала работать отправка комментариев, опубликование топиков и некоторый интерактив.

Так как у меня есть доступ к редактированию настроек виртуального хоста, я добавил туда следующие строчки:

<IfModule mod_security2.c>
    SecAuditLog /var/log/apache2/mod-security/your-site-audit.log

    # LiveStreet comments troubles
    SecRuleRemoveById 960010
    # LiveStreet topics troubles
    SecRuleRemoveById 950911
</IfModule>

Опция SecRuleRemoveById добавляет исключение, id события можно найти в файле /var/log/apache2/mod-security/your-site-audit.log — какой запрос и почему был заблокирован, например:

Message: Access denied with code 501 (phase 2). Match of "rx (?:^(?:application\\/x-www-form-urlencoded(?:;(?:\\s?charset\\s?=\\s?[\\w\\d\\-]{1,18})?)??$|multipart/form-data<img src="/images/smilies/wink.gif_quot;.html alt="Wink" />|text/xml)" against "REQUEST_HEADERS:Content-Type" required. [id "960010"] [msg "Request content type is not allowed by policy"] [severity "WARNING"]

WPIDS — плагин для WordPress, позволяющий использовать систему обнаружения атак PHPIDS. После установки необходимо обязательно обновить файл правил PHPIDS.